多租用戶使用者管理的常見解決方案

本文是一系列文章中的第四篇，提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指導。 系列中的下列文章提供所述的詳細資訊。

• 多租用戶使用者管理簡介是系列文章中的第一篇。
• 多租用戶使用者管理案例描述您可以使用多租用戶使用者管理功能的三種案例：使用者起始、編寫指令碼和自動化。
• 多租用戶使用者管理的常見考量提供下列考慮的指導：跨租用戶同步處理、目錄物件、Microsoft Entra 條件式存取、其他存取控制和 Office 365。

本指南可協助您達成一致的使用者生命週期管理狀態。 生命週期管理包括使用可用 Azure 工具，跨租用戶佈建、管理和取消佈建使用者，這些工具包括 Microsoft Entra B2B 共同作業 (B2B) 和跨租用戶同步處理。

Microsoft 建議盡可能使用單一租用戶。 如果單一租用戶不適用於您的案例，請參考下列解決方案，Microsoft 客戶已成功針對這些挑戰進行實作：

• 跨租用戶的自動使用者生命週期管理和資源配置
• 跨租用戶共用內部部署應用程式

跨租用戶的自動使用者生命週期管理和資源配置

客戶收購了先前有密切商務關係的競爭對手。 組織希望維持其公司的身分識別。

目前狀態

目前，組織會將彼此的使用者同步為郵件連絡人物件，使其顯示在彼此的目錄中。 每個資源租用戶都已為另一個租用戶中的所有使用者啟用郵件連絡人物件。 無法跨租用戶存取應用程式。

目標

此客戶有下列目標。

• 每個使用者都會出現在每個組織的 GAL 中。
  • 主租用戶中的使用者帳戶生命週期變更會自動反映在資源租用戶 GAL 中。
  • 主租用戶中的屬性變更 (例如部門、名稱、簡易郵件傳輸通訊協定 (SMTP) 位址) 會自動反映在資源租用戶 GAL 和主租用戶 GAL 中。
• 使用者可以存取資源租用戶中的應用程式和資源。
• 使用者可以自行處理資源的存取要求。

解決方案架構

組織會搭配同步作業引擎 (例如 Microsoft Identity Manager (MIM)) 使用點對點架構。 下圖說明此解決方案的點對點架構範例。

圖表標題：點對點架構解決方案。 左側標示為公司 A 的方塊包含內部使用者和外部使用者。 右側標示為公司 B 的方塊包含內部使用者和外部使用者。 在公司 A 與公司 B 之間，同步處理引擎互動會從公司 A 到公司 B，以及從公司 B 到公司 A。

每個租用戶管理員都會執行下列步驟來建立使用者物件。

1. 確定使用者資料庫是最新的。
2. 部署及設定 MIM。
   1. 處理現有的連絡人物件。
   2. 為其他租用戶的內部成員使用者建立外部成員使用者物件。
   3. 同步使用者物件屬性。
3. 部署及設定權利管理存取套件。
   1. 要共用的資源。
   2. 到期日和存取權檢閱原則。

跨租用戶共用內部部署應用程式

有多個對等組織的客戶，必須共用其中一個租用戶的內部部署應用程式。

目前狀態

對等組織會在網狀拓撲中同步處理外部使用者，以便跨租用戶將資源配置給雲端應用程式。 客戶提供下列功能。

• 在 Microsoft Entra ID 中共用應用程式。
• 主租用戶上資源租用戶中的自動化使用者生命週期管理 (反映新增、修改和刪除)。

下圖說明此案例，其中只有公司 A 中的內部使用者可存取公司 A 的內部部署應用程式。

圖表標題：網格拓撲。 左上方標示為公司 A 的方塊包含內部使用者和外部使用者。 右上方標示為公司 B 的方塊包含內部使用者和外部使用者。 左下方標示為公司 C 的方塊包含內部使用者和外部使用者。 右下方標示為公司 D 的方塊包含內部使用者和外部使用者。 在公司 A 與公司 B 之間以及公司 C 與公司 D 之間，同步處理引擎互動會在左側的公司與右側的公司之間進行。

目標

除了目前的功能，他們也想要提供下列功能。

• 將公司 A 內部部署資源的存取權提供給外部使用者。
• 使用安全性聲明標記語言 (SAML) 驗證的應用程式。
• 使用整合式 Windows 驗證和 Kerberos 的應用程式。

解決方案架構

公司 A 使用 Azure 應用程式 Proxy 為自己的內部使用者提供內部部署應用程式的單一登入 (SSO)，如下圖所示。

圖表標題：Azure 應用程式 Proxy 架構解決方案。 在左上方，標示為「https://sales.constoso.com」的方塊包含代表網站的地球圖示。 在其下方，一組圖示代表使用者，並透過從使用者到網站的箭號代表已連線。 在右上方，標示為 Microsoft Entra ID 的雲端圖形包含標示為應用程式 Proxy 服務的圖示。 箭號將網站連線到雲端圖形。 在右下方，標示為 DMZ 的方塊具有內部部署子標題。 箭號會將雲端圖形連線到 DMZ 方塊，分成兩個以指向標示為連接器的圖示。 在左側的連接器圖示下方，箭號指向下方並分成兩個，以指向標示為應用程式 1 和應用程式 2 的圖示。 在右側的連接器圖示下方，箭號向下指向標示為應用程式 3 的圖示。

租用戶 A 中的系統管理員會執行下列步驟，讓外部使用者能夠存取相同的內部部署應用程式。

1. 設定 SAML 應用程式的存取權。
2. 設定其他應用程式的存取權。
3. 透過 MIM 或 PowerShell 建立內部部署使用者。

下列文章提供 B2B 共同作業的其他資訊。

• 授與 Microsoft Entra ID 中的 B2B 使用者對於內部部署資源的存取權說明如何提供 B2B 使用者對於內部部署應用程式的存取權。
• 混合式組織的 Microsoft Entra B2B 共同作業說明如何為外部合作夥伴提供組織中應用程式和資源的存取權。

下一步

• 多租用戶使用者管理簡介是一系列文章中的第一篇，提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指導。
• 多租用戶使用者管理案例描述您可以使用多租用戶使用者管理功能的三種案例：使用者起始、編寫指令碼和自動化。
• 多租用戶使用者管理的常見考量提供下列考慮的指導：跨租用戶同步處理、目錄物件、Microsoft Entra 條件式存取、其他存取控制和 Office 365。